CodeCommit 权限参考 - AWS CodeCommit

CodeCommit 权限参考

下表列出了每个 CodeCommit API 操作、您可授予执行权限的对应操作以及用于授予权限的资源 ARN 的格式。表中的 CodeCommit API 是根据 API 允许的操作范围分组的。设置时请参考 访问控制 并写入可以附加到 IAM 身份(基于身份的策略)。

在创建权限策略时,可以在策略的 Action 字段中指定操作。在策略的 Resource 字段中以 ARN 的形式指定资源值,可以使用或不使用通配符 (*)。

在您的 CodeCommit 政策、使用 AWS宽条件键。完整列表 AWS-宽键,参见 可用密钥IAM 用户指南.

注意

要指定操作,请使用 codecommit: 前缀,然后是API操作名称(例如, codecommit:GetRepositorycodecommit:CreateRepository.

使用通配符

要指定多个操作或资源,可以在 ARN 中使用通配符 (*)。例如, codecommit:* 指定全部 CodeCommit 行动和 codecommit:Get* 指定全部 CodeCommit 从词语开始的操作 Get...以下示例授予访问所有存储库的权限,其名称以 MyDemo.

arn:aws:codecommit:us-west-2:111111111111:MyDemo*

您只能使用通配符与 repository-name 下表列出的资源。您不能使用配备通配符的 regionaccount-id resources 有关通配符的更多信息,请参阅 IAM 标识符IAM 用户指南.

GIT客户端命令所需的权限

在 CodeCommit、 GitPull IAM 策略权限适用于从中检索数据的GIT客户端命令 CodeCommit,包括 git fetchgit clone,所以在。同样, GitPush IAM 策略权限适用于发送数据的任何GIT客户端命令 CodeCommit. 例如,如果 GitPush IAM 策略权限设置为 Allow,用户可以使用GIT协议推送分支机构。该推送不受应用于 DeleteBranch 运行对象 IAM 用户。TheThethe DeleteBranch 权限适用于控制台执行的操作, AWS CLI、SDK和API,但不是GIT协议。

GitPullGitPush 是 IAM 策略权限。它们不是 API 操作。

使用滚动条查看表的其余部分。

CodeCommit 必需的 Git 客户端命令操作权限
CodeCommit 的 Git 权限 必需的权限 资源:

GitPull

codecommit:GitPull

将信息从 CodeCommit 存储库拉取到本地存储库时是必需的。这只是一种 IAM 策略权限,不是 API 操作。

arn:aws:codecommit:*region:account-id:repository-name

GitPush

codecommit:GitPush

将信息从本地存储库推送到 CodeCommit 存储库时是必需的。这只是一种 IAM 策略权限,不是 API 操作。

注意

如果您创建了包含上下文密钥和 Deny 包含此权限的声明,您还必须包括 Null 上下文。有关更多信息,请参阅 限制推动和合并到分支机构 AWS CodeCommit.

arn:aws:codecommit:*region:account-id:repository-name

对分支机构行动的权限

以下权限允许或拒绝对 CodeCommit 存储库中的分支执行操作。这些权限仅适用于在 CodeCommit 控制台和 CodeCommit API以及使用AWSCLI执行的命令。它们与可以使用 Git 协议执行的类似操作无关。例如, GIT显示-分支-R 命令显示存储库的远程分支机构列表,并使用GIT协议显示其承诺。它不受任何权限 CodeCommit ListBranches 操作。

使用滚动条查看表的其余部分。

CodeCommit API 操作和必需的分支操作权限
CodeCommit API 分支操作 所需权限(API 操作) 资源:

CreateBranch

codecommit:CreateBranch

在 CodeCommit 存储库中创建分支时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

DeleteBranch

codecommit:DeleteBranch

从 CodeCommit 存储库中删除分支时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

GetBranch

codecommit:GetBranch

获取有关 CodeCommit 存储库中某个分支的详细信息时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

ListBranches

codecommit:ListBranches

获取 CodeCommit 存储库中分支的列表时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

MergeBranchesByFastForward

codecommit:MergeBranchesByFastForward

在 CodeCommit 存储库中使用快进合并策略合并两个分支时是必需的。

arn:aws:codecommit:*region:account-id:repository-name
MergeBranchesBySquash

codecommit:MergeBranchesBySquash

在 CodeCommit 存储库中使用压缩合并策略合并两个分支时是必需的。

arn:aws:codecommit:*region:account-id:repository-name
MergeBranchesByThreeWay

codecommit:MergeBranchesByThreeWay

在 CodeCommit 存储库中使用三向合并策略合并两个分支时是必需的。

arn:aws:codecommit:*region:account-id:repository-name
UpdateDefaultBranch codecommit:UpdateDefaultBranch

更改 CodeCommit 存储库中的默认分支时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

对合并操作的权限

以下权限允许或拒绝对 CodeCommit 存储库中的合并执行操作。这些权限与 CodeCommit 控制台和 CodeCommit API以及使用AWSCLI执行的命令。它们与可以使用 Git 协议执行的类似操作无关。有关分支的相关权限,请参阅对分支机构行动的权限. 有关拉取请求的相关权限,请参阅对拉出请求的操作的权限.

使用滚动条查看表的其余部分。

CodeCommit合并命令操作所需的 权限
CodeCommit合并的 权限 必需的权限 资源:

BatchDescribeMergeConflicts

codecommit:BatchDescribeMergeConflicts

返回有关 CodeCommit 存储库中的提交之间的合并冲突的信息时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

CreateUnreferencedMergeCommit

codecommit:CreateUnreferencedMergeCommit

在 CodeCommit 存储库中的两个分支或提交之间创建未引用的提交以进行比较和找出任何潜在冲突时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

DescribeMergeConflicts

codecommit:DescribeMergeConflicts

返回有关 CodeCommit 存储库中的潜在合并中的文件的基本、源和目标版本之间的合并冲突的信息时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

GetMergeCommit

codecommit:GetMergeCommit

返回有关 CodeCommit 存储库中的源和目标提交之间的合并的信息时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

GetMergeOptions

codecommit:GetMergeOptions

返回有关 CodeCommit 存储库中的两个分支或提交说明符之间的可用合并选项的信息时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

对拉出请求的操作的权限

以下权限允许或拒绝对 CodeCommit 存储库中的拉取请求执行操作。这些权限与 CodeCommit 控制台和 CodeCommit API以及使用AWSCLI执行的命令。它们与可以使用 Git 协议执行的类似操作无关。有关相关评论权限,请参阅注释操作权限.

使用滚动条查看表的其余部分。

CodeCommit API 操作和必需的拉取请求操作权限
CodeCommit API 操作 所需权限(API 操作) 资源:

BatchGetPullRequests

codecommit:BatchGetPullRequests

返回有关 CodeCommit 存储库中一个或多个拉取请求的信息时是必需的。这只是一种 IAM 策略权限,不是可调用的 API 操作。

arn:aws:codecommit:*region:account-id:repository-name

CreatePullRequest

codecommit:CreatePullRequest

在 CodeCommit 存储库中创建拉取请求时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

CreatePullRequestApprovalRule

codecommit:CreatePullRequestApprovalRule

在 CodeCommit 存储库中为拉取请求创建审批规则时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

DeletePullRequestApprovalRule

codecommit:DeletePullRequestApprovalRule

在 CodeCommit 存储库中删除拉取请求的审批规则时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

DescribePullRequestEvents 返回有关 CodeCommit 存储库中的一个或多个拉取请求事件的信息时是必需的。 arn:aws:codecommit:*region:account-id:repository-name
EvaluatePullRequestApprovalRules

codecommit:EvaluatePullRequestApprovalRules

评估拉取请求是否满足 CodeCommit 存储库中关联的审批规则指定的所有条件时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

GetCommentsForPullRequest

codecommit:GetCommentsForPullRequest

返回对拉取请求的评论时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

GetCommitsFromMergeBase

codecommit:GetCommitsFromMergeBase

返回潜在合并上下文中各提交之间的差异的相关信息时是必需的。这只是一种 IAM 策略权限,不是可调用的 API 操作。

arn:aws:codecommit:*region:account-id:repository-name

GetMergeConflicts

codecommit:GetMergeConflicts

需要返回来源和目标分支之间的合并冲突信息,请求中有关于合并冲突。

arn:aws:codecommit:*region:account-id:repository-name

GetPullRequest

codecommit:GetPullRequest

返回有关拉取请求的信息时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

GetPullRequestApprovalStates

codecommit:GetPullRequestApprovalStates

返回有关指定拉取请求的审批状态的信息时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

GetPullRequestOverrideState

codecommit:GetPullRequestOverrideState

需要返回关于是否已将批准规则设置为拉动请求的相关信息,以及如果是这样的请求,则会对用户或身份的亚马逊资源名称(ARN)进行超越规则及其对拉请求的要求的标识。

arn:aws:codecommit:*region:account-id:repository-name

ListPullRequests

codecommit:ListPullRequests

返回有关存储库的拉取请求的信息时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

MergePullRequestByFastForward codecommit:MergePullRequestByFastForward

关闭拉取请求并尝试使用快进合并策略将源分支合并到拉取请求的目标分支时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

MergePullRequestBySquash codecommit:MergePullRequestBySquash

关闭拉取请求并尝试使用压缩合并策略将源分支合并到拉取请求的目标分支时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

MergePullRequestByThreeWay codecommit:MergePullRequestByThreeWay

关闭拉取请求并尝试使用三向合并策略将源分支合并到拉取请求的目标分支时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

OverridePullRequestApprovalRules codecommit:OverridePullRequestApprovalRules

在 CodeCommit 存储库中为拉取请求留出所有审批规则要求时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

PostCommentForPullRequest codecommit:PostCommentForPullRequest

在 CodeCommit 存储库中对拉取请求发布评论时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

UpdatePullRequestApprovalRuleContent codecommit:UpdatePullRequestApprovalRuleContent

在 CodeCommit 存储库中更改拉取请求的审批规则结构时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

UpdatePullRequestApprovalState codecommit:UpdatePullRequestApprovalState

在 CodeCommit 存储库中更改拉取请求的审批状态时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

UpdatePullRequestDescription codecommit:UpdatePullRequestDescription

更改 CodeCommit 存储库中拉取请求的说明时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

UpdatePullRequestStatus codecommit:UpdatePullRequestStatus

更改 CodeCommit 存储库中拉取请求的状态时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

UpdatePullRequestTitle codecommit:UpdatePullRequestTitle

更改 CodeCommit 存储库中拉取请求的标题时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

批准规则模板操作的权限

以下权限允许或拒绝对 CodeCommit 存储库中的审批规则模板执行操作。这些权限仅适用于在 CodeCommit 控制台, CodeCommit API,以及使用 AWS CLI. 它们与可以使用 Git 协议执行的类似操作无关。有关拉取请求的相关权限,请参阅对拉出请求的操作的权限.

使用滚动条查看表的其余部分。

CodeCommit对审批规则模板执行操作的 API 操作和所需权限
CodeCommit审批规则模板的 API 操作 必需的权限 资源:

AssociateApprovalRuleTemplateWithRepository

codecommit:AssociateApprovalRuleTemplateWithRepository

将模板与 AWS 账户中的指定存储库关联时是必需的。关联后,此操作会根据在指定存储库中创建的每个拉取请求的模板条件,自动创建与之匹配的审批规则。

*

BatchAssociateApprovalRuleTemplateWithRepositories

codecommit:BatchAssociateApprovalRuleTemplateWithRepositories

将模板与 AWS 账户中的一个或多个指定存储库关联时是必需的。

*

BatchDisassociateApprovalRuleTemplateFromRepositories

codecommit:BatchDisassociateApprovalRuleTemplateFromRepositories

取消模板与 AWS 账户中的一个或多个指定存储库的关联时是必需的。

*

CreateApprovalRuleTemplate

codecommit:CreateApprovalRuleTemplate

创建随后可与 AWS 账户中的一个或多个存储库关联的审批规则模板时是必需的。

*

DeleteApprovalRuleTemplate

codecommit:DeleteApprovalRuleTemplate

删除 AWS 账户中的指定模板时是必需的。它不会删除已使用模板创建的拉取请求的审批规则。

*

DisassociateApprovalRuleTemplateFromRepository

codecommit:DisassociateApprovalRuleTemplateFromRepository

需要将指定模板从存储库中取消关联 AWS 账户。它不会删除已使用模板创建的拉取请求的审批规则。

*

GetApprovalRuleTemplate

codecommit:GetApprovalRuleTemplate

返回有关 AWS 账户中审批规则模板的信息时是必需的。

*

ListApprovalRuleTemplates

codecommit:ListApprovalRuleTemplates

列出 AWS 账户中的审批规则模板时是必需的。

*

ListAssociatedApprovalRuleTemplatesForRepository

codecommit:ListAssociatedApprovalRuleTemplatesForRepository

列出与 AWS 账户中的指定存储库关联的所有审批规则模板时是必需的。

*

ListRepositoriesForApprovalRuleTemplate

codecommit:ListRepositoriesForApprovalRuleTemplate

列出与 AWS 账户中的指定审批规则模板关联的所有存储库时是必需的。

*

UpdateApprovalRuleTemplateContent

codecommit:UpdateApprovalRuleTemplateContent

更新 AWS 账户中的审批规则模板的内容时是必需的。

*

UpdateApprovalRuleTemplateDescription

codecommit:UpdateApprovalRuleTemplateDescription

更新 AWS 账户中的审批规则模板的描述时是必需的。

*

UpdateApprovalRuleTemplateName

codecommit:UpdateApprovalRuleTemplateName

更新 AWS 账户中的审批规则模板的名称时是必需的。

*

对单个文件操作的权限

以下权限允许或拒绝对 CodeCommit 存储库中的单个文件执行操作。这些权限仅适用于在 CodeCommit 控制台, CodeCommit API,以及使用 AWS CLI. 它们与可以使用 Git 协议执行的类似操作无关。例如, git push 命令将新文件和已更改文件推送到A CodeCommit 通过使用GIT协议。它不受任何权限 CodeCommit PutFile 操作。

使用滚动条查看表的其余部分。

CodeCommit单个文件上的 API 操作和必需的操作权限
CodeCommit对单个文件的 API 操作 必需的权限 资源:

DeleteFile

codecommit:DeleteFile

需要从指定分支中删除指定的文件 CodeCommit 来自 CodeCommit 控制台。

arn:aws:codecommit:*region:account-id:repository-name

GetBlob

codecommit:GetBlob

需要查看单个文件的编码内容 CodeCommit 来自 CodeCommit 控制台。

arn:aws:codecommit:*region:account-id:repository-name

GetFile

codecommit:GetFile

要查看单个文件的编码内容及其元数据A CodeCommit 来自 CodeCommit 控制台。

arn:aws:codecommit:*region:account-id:repository-name

GetFolder

codecommit:GetFolder

需要查看指定文件夹内容的内容 CodeCommit 来自 CodeCommit 控制台。

arn:aws:codecommit:*region:account-id:repository-name

PutFile

codecommit:PutFile

需要将新文件添加到A CodeCommit 来自 CodeCommit 控制台, CodeCommit API,或 AWS CLI.

arn:aws:codecommit:*region:account-id:repository-name

注释操作权限

以下权限允许或拒绝对 CodeCommit 存储库中的评论执行操作。这些权限与 CodeCommit 控制台和 CodeCommit API以及使用AWSCLI执行的命令。有关对拉取请求中的评论的相关权限,请参阅对拉出请求的操作的权限.

使用滚动条查看表的其余部分。

CodeCommit API 操作和必需的存储库评论权限
CodeCommit API 操作 所需权限(API 操作) 资源:

DeleteCommentContent

codecommit:DeleteCommentContent

删除对存储库中的更改、文件或提交做出的评论的内容时是必需的。评论无法删除,但如果用户拥有此权限,则可以删除评论内容。

arn:aws:codecommit:*region:account-id:repository-name

GetComment

codecommit:GetComment

返回有关对 CodeCommit 存储库中的更改、文件或提交做出的评论的信息时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

GetComment反应

codecommit:GetCommentReactions

要求将表情符号的信息返回给对变更、文件或提交的评论 CodeCommit 资料库。

arn:aws:codecommit:*region:account-id:repository-name

GetCommentsForComparedCommit

codecommit:GetCommentsForComparedCommit

返回有关对某一 CodeCommit 存储库中的两个提交之间的比较做出的评论的信息时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

PostCommentForComparedCommit

codecommit:PostCommentForComparedCommit

对某一 CodeCommit 存储库中的两个提交之间的比较创建评论时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

PostCommentReply

codecommit:PostCommentReply

对评论之间的比较或拉取请求的评论创建回复时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

PUTCOMMENT反应

codecommit:PutCommentReaction

需要创建或更新表情符号对注释的反应。

arn:aws:codecommit:*region:account-id:repository-name

UpdateComment

codecommit:UpdateComment

对评论之间的比较或拉取请求的评论进行编辑时是必需的。只有评论作者可以编辑评论。

arn:aws:codecommit:*region:account-id:repository-name

对已提交代码的操作的权限

以下权限允许或拒绝对已提交到 CodeCommit 存储库的代码执行操作。这些权限与 CodeCommit 控制台和 CodeCommit API以及使用AWSCLI执行的命令。它们与可以使用 Git 协议执行的类似操作无关。例如, GIT承诺 命令使用GIT协议为存储库中的分支创建承诺。它不受任何权限 CodeCommit CreateCommit 操作。

显式拒绝这些权限中的某些权限可能会在 CodeCommit 控制台中导致意外后果。例如,设置 GetTreeDeny 防止用户导航控制台中存储库的内容,但不阻止用户查看存储库中文件的内容(如果发送到电子邮件中文件的链接)。设置 GetBlobDeny 防止用户查看文件内容,但不阻止用户浏览存储库的结构。设置 GetCommitDeny 防止用户检索Commits的详细信息。设置 GetObjectIdentifierDeny 阻止代码浏览的大部分功能。如果您将这三个操作设置为 Deny 在策略中,具有该策略的用户无法在 CodeCommit 控制台。

使用滚动条查看表的其余部分。

CodeCommitAPI 操作和必需的已提交代码操作权限
CodeCommit API 操作 所需权限(API 操作) 资源:

BatchGetCommits

codecommit:BatchGetCommits

返回有关 CodeCommit 存储库中的一个或多个提交的信息时是必需的。这只是一种 IAM 策略权限,不是可调用的 API 操作。

arn:aws:codecommit:*region:account-id:repository-name

CreateCommit

codecommit:CreateCommit

创建提交时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

GetCommit

codecommit:GetCommit

返回有关提交的信息时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

GetCommitHistory

codecommit:GetCommitHistory

返回有关存储库中提交历史记录的信息时是必需的。这只是一种 IAM 策略权限,不是可调用的 API 操作。

arn:aws:codecommit:*region:account-id:repository-name

GetDifferences

codecommit:GetDifferences

返回有关提交说明符 (如分支、标签、HEAD、提交 ID 或其他完全限定引用) 差异的信息时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

GetObjectIdentifier codecommit:GetObjectIdentifier

将 blob、树和提交解析为其标识符时是必需的。这只是一种 IAM 策略权限,不是可调用的 API 操作。

arn:aws:codecommit:*region:account-id:repository-name

GetReferences codecommit:GetReferences

返回所有引用 (如分支和标签) 时是必需的。这只是一种 IAM 策略权限,不是可调用的 API 操作。

arn:aws:codecommit:*region:account-id:repository-name

GetTree codecommit:GetTree

要查看指定树的内容 CodeCommit 来自 CodeCommit 控制台。这只是一种 IAM 策略权限,不是可调用的 API 操作。

arn:aws:codecommit:*region:account-id:repository-name

存储库操作的权限

以下权限允许或拒绝对 CodeCommit 存储库执行操作。这些权限与 CodeCommit 控制台和 CodeCommit API以及使用AWSCLI执行的命令。它们与可以使用 Git 协议执行的类似操作无关。

使用滚动条查看表的其余部分。

CodeCommitAPI 操作和必需的存储库操作权限
CodeCommit API 操作 所需权限(API 操作) 资源:

BatchGetRepositories

codecommit:BatchGetRepositories

需要获得有关多个信息的信息 CodeCommit 存储库 AWS 账户。在 Resource,您必须指定所有 CodeCommit 允许(或拒绝)信息用户的存储库。

arn:aws:codecommit:*region:account-id:repository-name

CreateRepository

codecommit:CreateRepository

创建 CodeCommit 存储库时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

DeleteRepository

codecommit:DeleteRepository

删除 CodeCommit 存储库时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

GetRepository

codecommit:GetRepository

获取有关单个 CodeCommit 存储库的信息时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

ListRepositories codecommit:ListRepositories

需要获得多个名称和系统ID的列表 CodeCommit 存储库 AWS 账户。对于该操作来说,Resource 唯一允许的值是所有存储库 ()。*).

*

UpdateRepositoryDescription codecommit:UpdateRepositoryDescription

更改 CodeCommit 存储库的说明时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

UpdateRepositoryName codecommit:UpdateRepositoryName

更改 CodeCommit 存储库的名称时是必需的。在 Resource,您必须同时指定 CodeCommit 允许更改的存储库和新的存储库名称。

arn:aws:codecommit:*region:account-id:repository-name

标签操作的权限

以下权限允许或拒绝操作 AWS 标签 CodeCommit 资源。

使用滚动条查看表的其余部分。

CodeCommit标签操作的 API 操作和所需权限
CodeCommit API 操作 所需权限(API 操作) 资源:

ListTagsForResource

codecommit:ListTagsForResource

需要返回有关 AWS 在资源中配置的标记 CodeCommit.

arn:aws:codecommit:*region:account-id:repository-name

TagResource ()

codecommit:TagResource

需要添加或编辑 AWS 资源的标签 CodeCommit.

arn:aws:codecommit:*region:account-id:repository-name

UntagResource

codecommit:UntagResource

需要删除 AWS 来自 CodeCommit.

arn:aws:codecommit:*region:account-id:repository-name

触发器操作的权限

以下权限允许或拒绝对 CodeCommit 存储库的触发器执行操作。

使用滚动条查看表的其余部分。

CodeCommitAPI 操作和必需的触发器操作权限
CodeCommit API 操作 所需权限(API 操作) 资源:

GetRepositoryTriggers

codecommit:GetRepositoryTriggers

返回有关为存储库配置的触发器的信息时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

PutRepositoryTriggers

codecommit:PutRepositoryTriggers

创建、编辑或删除存储库触发器时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

TestRepositoryTriggers

codecommit:TestRepositoryTriggers

通过向为触发器配置的主题或函数发送数据来测试存储库触发器的功能时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

对操作的权限 CodePipeline 集成

以便 CodePipeline 使用 CodeCommit 在管道的源操作中存储库中,您必须授予以下表格中列出的所有权限,以便 CodePipeline. 如果未在服务角色中设置这些权限或将这些权限设为 Deny,则在对存储库进行更改时,管道不会自动运行,并且无法手动发布更改。

使用滚动条查看表的其余部分。

CodeCommit API 操作和必需的 CodePipeline 集成操作权限
CodeCommit API 操作 所需权限(API 操作) 资源:

GetBranch

codecommit:GetBranch

获取有关 CodeCommit 存储库中某个分支的详细信息时是必需的。

arn:aws:codecommit:*region:account-id:repository-name

GetCommit

codecommit:GetCommit

返回有关到 服务角色的提交的信息时是必需的。CodePipeline.

arn:aws:codecommit:*region:account-id:repository-name

UploadArchive

codecommit:UploadArchive

允许 CodePipeline 服务角色将存储库更改上传到管道中时是必需的。这只是一种 IAM 策略权限,不是可调用的 API 操作。

arn:aws:codecommit:*region:account-id:repository-name

GetUploadArchiveStatus

codecommit:GetUploadArchiveStatus

确定存档的上传状态:是正在进行、完成、已取消还是出现错误时是必需的。这只是一种 IAM 策略权限,不是可调用的 API 操作。

arn:aws:codecommit:*region:account-id:repository-name

CancelUploadArchive codecommit:CancelUploadArchive

取消将存档上传到管道的操作时是必需的。这只是一种 IAM 策略权限,不是可调用的 API 操作。

arn:aws:codecommit:*region:account-id:repository-name